XCodeGhost事件真相完全大还原

导语：可怕的国内黑客，聪明且疯狂！不仅开发出高技术含量XCode修改版，更能利用SEO（搜索引擎优化）来在网络推广修改版，让无数开发者中招。

这次事件的影响之大、之深远，相信几乎涉及所有国内外做iOS开发的圈子，甚至影响到其他平台的开发者们。微信等一线APP都中招，其实这已经不仅仅是某个开发者所谓的做了个实验的问题，不是什么电商账号和隐私安全的问题，大点说涉及国家安全也不为过。

好特在腾讯安全应急响应中心网站看到了关于对此次事件全方位还原的文章，了解到此事并非如此简单，现分享给大家。

原文如下：

【前言】

这几天安全圈几乎被XCodeGhost事件刷屏，大家都非常关注，各安全团队都很给力，纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后，我们认为，这还不是全部，所以我们来补充下完整的XCodeGhost事件。

由于行文仓促，难免有诸多错漏之处，还望同行批评指正。

【事件溯源】

事情要追溯到一周前。

9月12日，我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量，行为非常可疑，于是终端安全团队立即跟进，经过一个周末加班加点的分析和追查，我们基本还原了感染方式、病毒行为、影响面。

9月13日，产品团队发布了新版本。同时考虑到事件影响面比较广，我们立即知会了CNCERT，CNCERT也马上采取了相关措施。所以从这个时间点开始，后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

9月14日，CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

图1 CNCERT发布的预警公告

9月16日，我们发现AppStore上的TOP5000应用有76款被感染，于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

• 苹果XcodeGhost事件：我们的安全在哪里？
• 苹果CMO菲尔·席勒解读Xcode事件：关键问题在这
• 苹果iOS躺枪：网络安全没有一家可独善其身
• 科普：10个习惯助力手机安全
• iOS应用感染XCode病毒，苹果不承担责任